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Datenleck auf Servern von Ermittlungsbehörden 


Vorbemerkung der Fragesteller 

Mitglieder der sogenarmten no-name-crew haben nach eigenen Angaben ne- 
ben dem zentralen Server für das Observationsprogramm „Patras“ auch an- 
dere Server der Bundespolizei kompromittiert und heruntergeladene Dateien 
ins Netz gestellt. Diese Dateien sind teilweise noch verschlüsselt. FOCUS 
ONLINE hat am 16. Juli 2011 gemeldet, dass zumindest bei den Servern für 
das Observationsprogramm „Patras“ grundlegende Sicherheitsmängel den 
Diebstahl ermöglichten. Zahlreiche Server der Bundespolizei, der Zollver- 
waltung und der Landeskriminalämter sind daraufhin vom Netz genommen 
worden. 

Laut dem Bundesvorsitzenden, Klaus Jansen, Bund der Kriminalbeamter, ist 
wegen der Kompromittierung von Bundespolizeiservem der Arbeitskreis II 
der Innenministerkonferenz zusammengetreten. Entgegen der Forderung des 
Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wurden 
weder Öffentlichkeit noch Parlament noch die Betroffenen selbst konkret über 
diese Datenlecks in hochsensiblen Bereichen und die dabei zugänglich ge- 
wordenen Daten informiert (vgl. Presseerklärung des BfDI vom 12. Juni 2011 
„Informationspflicht muss auch für Datenschutzparmen bei Behörden einge- 
führt werden“). 


Vorbemerkung der Bundesregierung 

Die sogenannte No-Name-Crew hat am 7. Juli 2011, um 18.04 Uhr, in einem 
Bekennerschreiben an das Hamburger Abendblatt die Veröffentlichung von Da- 
ten der Bundespolizei angekündigt. Am 7. Juli 2011 gegen 23.40 Uhr erschie- 
nen auf der Webseite der „No-Name-Crew“ Softwarepakete und dazugehörige 
Anwendungshinweise sowie Einsatzdaten aus einem Zielverfolgungssystem 
„Paip-Tracking-Server“ (PATRAS). Mit diesem Geoinformationssystem kön- 
nen berechtigte Nutzer die Standorte der Zielverfolgungseinheiten (GPS-Tra- 
cking Units) feststellen und dokumentieren. Diese Geo-Daten sind mittels einer 
kartengestützten Webanwendung grafisch darstellbar. 


Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums des Innern vom 1 7. August 2011 
übermittelt. 

Die Drucksache enthält zusätzlich - in kleinerer Schrifttype - den Fragetext. 
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Die PATRAS-Server werden als abgesetzte Systeme im Internet getrennt von 
den Behördennetzen betrieben. Da zunächst nicht absehbar war, ob noch wei- 
tere Daten abgeflossen sind, wurde der Sachverhalt auf die Tagesordnung einer 
ohnehin angesetzten Telefonkonferenz des Arbeitskreises II der Innenminister- 
konferenz gesetzt. 

Die forensische Untersuchung der abgeschalteten Server sowie der im Rahmen 
der Ermittlungen sichergestellten Daten dauert an. Nach derzeitigem Stand der 
Ermittlungen sind jedoch keine polizeilichen Netzwerke kompromittiert wor- 
den und keine Daten aus Ermittlungsverfahren abgeflossen. 


1. Welche Arten von Dateien und Daten wurden in welchem Umfang von 
Servern der Bundespolizei und des Zolls von Mitgliedern der sogenannten 
no-name-crew entwendet? 

Nach derzeitigem Stand der Ermittlungen handelt es sich um Geo-Daten sowie 
Steuerungsdaten für die Ortungstechnik aus einem Zielverfolgungssystem des 
Zollkriminalamtes (ZKA) sowie um Softwarepakete und Servicemitteilungen 
zur Installation von PATRAS-Servem der Bundespolizei, die ohne notwendi- 
gen Freischaltschlüssel nicht verwendet werden köimen. 


2. Welche weiteren Sicherheitsbehörden waren gleichartigen Angriffen mit 
welchen Ergebnissen ausgesetzt? 

Nach derzeitigem Stand der Ermittlungen kam es bei keiner weiteren Sicher- 
heitsbehörde des Bundes zu einem erfolgreichen Angriff. Darüber hinaus sind 
nach derzeitiger Kenntnis der Bundesregierang vier Bundesländer gleich- 
artigen Angriffen ausgesetzt gewesen. Die Bundesregierung hat zu diesen 
außerhalb ihres Verantwortungsbereichs liegenden Systemen der Bundesländer 
keine detaillierten Erkenntnisse. 


3. Wie haben die Bundesregierung und die Sicherheitsbehörden von den Da- 
tenlecks Kenntnis erhalten? 

Die „No-Name-Crew“ hat am 7. Juli 2011, um 18.04 Uhr, in einem Bekenner- 
schreiben an das Hamburger Abendblatt die Veröffentlichung von Daten der 
Bundespolizei angekündigt. Durch das Hamburger Abendblatt wurde die Bun- 
despolizei informiert, die wiederum das Bundesministerium des Innern und das 
Bundesamt für Sicherheit in der Informationstechnik über den Sachverhalt un- 
terrichtete. 

Das Zollkriminalamt erhielt die Meldung am 8. Juli 2011 um 1.35 Uhr von der 
Bundespolizei fernmündlich. 


4. Wie viele laufende Ermittlungen bzw. laufende Verfahren sind potentiell 
betroffen? 

5. Welche Auswirkungen haben nach Einschätzung der Bundesregierung die 
bisherigen Veröffentlichungen und potentielle weitere Veröffentlichungen 
der Dateien auf laufende Ermittlungen bzw. laufende Verfahren? 

Nach bisherigem Ermittlungsstand sind keine Einsatzdaten aus dem Zielverfol- 
gungssystem der Bundespolizei kompromittiert worden. Nach heutigem Stand 
sind keine Daten aus Ermittlungsverfahren der Bundespolizei abgeflossen. Aus 
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den Zielverfolgungsdaten der Bundespolizei lassen sich für Außenstehende 
keine Zusammenhänge zu Verfahren oder Ermittlungen hersteilen. 

Aus dem Bereich der Zollverwaltung sind zwar Geo-Daten entwendet worden, 
jedoch erfolgt eine Verknüpfung der Positionsdaten mit dem konkreten Ermitt- 
lungsverfahren durch die ermittelnde Dienststelle über andere - nicht mit dem 
Zielverfolgungssystem PATRAS verbundene - Informationssysteme, so dass 
grundsätzlich davon auszugehen ist, dass keine laufenden Ermittlungen der 
Zollverwaltung gefährdet sind. Darüber hinaus sind die zugrundeliegenden 
Ermittlungsverfahren überwiegend bereits abgeschlossen. 


6. Welche Datennetze waren betroffen, und wie viele Server der entsprechen- 
den Netze sind kompromittiert worden? 

Die Ortungssysteme werden als einzelne Rechner im Internet außerhalb der Be- 
hördennetze betrieben. Da die vollständige Auswertung der sichergestellten 
Daten noch nicht abgeschlossen ist, können zum jetzigen Zeitpunkt keine ab- 
schließenden Angaben zum Umfang des Datenabzuges gemacht werden. Nach 
dem gegenwärtigen Stand der Ermittlungen ist es den Tätern nicht gelungen, 
die internen Netze und Datenbanken der Polizei und der Zollverwaltung zu 
kompromittieren. Die Angriffe blieben auf das von den übrigen IT-Anwendun- 
gen getrennte Zielverfolgungssystem beschränkt. 

Die von der „No-Name-Crew“ zur Untermauerung ihrer Behauptung über wei- 
tere Angriffe veröffentlichten internen Dokumente (Organisationspläne, Dienst- 
anweisungen, Formulare) stammen nicht aus einem erfolgreichen Angriff auf 
Datennetze oder Server. 


7. Wie schätzt die Bundesregierung die Qualität der Maßnahmen in Bezug 
auf Datenschutz und Datensicherheit auf den betroffenen Servern ein? 

Der erfolgreiche Angriff hat Mängel in der Datensicherheit der betroffenen Ser- 
ver aufgezeigt. Welche konkreten Einzelmaßnahmen zur Verbesserung der Da- 
tensicherheit erforderlich sind, werden die derzeit noch laufenden Unter- 
suchungen zeigen. 


8. Sieht die Bundesregierung einen Zusammenhang zwischen den bekannt 
gewordenen mangelhaften Sicherheitsvorkehrungen und dem Personalein- 
satz bzw. dem Ausbildungsstand der betroffenen IT-Abteilungen und der 
jeweils Verantwortlichen? 

Nach bisherigem Ermittlungsstand gehen die Mängel in der Datensicherheit der 
betroffenen Server auf individuelles Fehlverhalten zurück. Flinweise auf einen 
systematischen Zusammenhang zu Personaleinsatz oder Ausbildungsstand ha- 
ben sich nicht ergeben. Die umfassende Auswertung der derzeit noch laufenden 
Untersuchungen wird Maßnahmen zur Aus- und Fortbildung sowie zur Per- 
sonalentwicklung einschließen. 


9. Werden eventuell festzustellende mangelnde Sicherheitsvorkehrungen zu 
dienstlichen Konsequenzen bei den Verantwortlichen führen? 

Die Ermittlungen zu den Sicherheitsvorfällen dauern an. Dienstliche Konse- 
quenzen werden geprüft. 
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10. Welche konkreten Sicherheitsstandards und -prozesse wurden beim Be- 
trieb der betroffenen Server missachtet? 

Da die Untersuchungen noch nicht beendet sind, kann hierzu noch nicht ab- 
schließend Stellung genommen werden. Nach derzeitigem Erkenntnisstand hat 
eine Sicherheitslücke im verwendeten Datenbankverwaltungsprogramm das 
Einschleusen von Schadsoftware und somit den illegalen Zugriff auf die Server 
ermöglicht. 

Der Vorfall wird zum Anlass genommen, die bisherigen Sicherheitskonzepte 
für die Informations- und Kommunikations-Infrastruktur und deren Umsetzung 
auf den Prüfstand zu stellen. Dabei sind auch die Sicherheitsstrukturen sowie 
die Informations- und Meldewege zu überprüfen und gegebenenfalls anzupas- 
sen. Über weitergehende Maßnahmen wird nach Abschluss der Schwach- 
stellenanalyse entschieden. 


1 1 . Wie lange wurden die Server der Bundespolizei, der Zollverwaltung und 
der Landeskriminalämter (bitte konkret angeben) in Folge der Angriffe 
abgeschaltet? 

Die beim Bund eingesetzten PATRAS-Zielverfolgungssysteme wurden unver- 
züglich nach Bekanntwerden des Vorfalls vorsorglich abgeschaltet und die vor- 
handenen Daten gesichert. Darüber hinaus sind nach Kenntnis der Bundes- 
regierung auch alle anderen PATRAS-Zielverfolgungssysteme abgeschaltet 
worden. Die Systeme sind derzeit noch abgeschaltet. 


12. Welche Aufgaben von Zollverwaltung und Bundespolizei koimten auf- 
grund der Angriffe wie lange nicht oder nur unzureichend erfüllt werden, 
und welche Folgen haben die Angriffe für die Aufgabenerfüllung? 

Die Ermittlungen mit Zielverfolgung können von Zollverwaltung und Bundes- 
polizei, allerdings mit höherem Aufwand, weitergeführt werden. 


13. Welche kurzfristigen Maßnahmen wurden unternommen, um die Sicher- 
heit der kompromittierten Netze und Server wiederherzustellen? 

Bei den Sicherheitsbehörden des Bundes wurden mehrere Sofortmaßnahmen 
durchgeführt, darunter eine sofortige IT-Sicherheitskurzrevision, forensische 
Untersuchungen der Firewall-Systeme und außerplanmäßige Suchen nach den 
gefundenen Schadprogrammen bei der gesamten IT-Infrastruktur. Flierbei 
wurde festgestellt, dass die Angriffe auf die von den übrigen polizeilichen 
IT-Anwendungen getreimten Zielverfolgungssysteme beschränkt blieben. Die 
beim Bund eingesetzten PATRAS-Zielverfolgungssysteme wurden außerdem 
abgeschaltet und die vorhandenen Daten gesichert. 


14. Sieht die Bundesregierung einen Zusammenhang zwischen den bekannt 
gewordenen mangelnden Sicherheits Vorkehrungen und dem in der Ant- 
wort der Bundesregierung auf die Kleine Anfrage auf Bundestagsdruck- 
sache 17/6655 konstatierten Investitionsmehrbedarf von 8 Mio. Euro bei 
der IT der Bundespolizei? 

Zwischen den aktuellen Vorfällen und dem Erfordernis, die vorhandene Aus- 
stattung der Bundespolizei ständig an die Entwicklungen im Bereich der Infor- 
mations- und Kommunikationstechnik anzupassen, besteht kein Zusammen- 
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hang. Nach bisherigem Erkenntnisstand lag die Ursache in individuellem Fehl- 
verhalten beim Umgang mit der eingesetzten Technik und nicht in fehlender 
Technik. 


15. Welche Maßnahmen, z. B. zusätzliche Investitionen, Neueinstellungen 
und Ausbildungsinitiativen, gedenkt die Bundesregierung in Angriff zu 
nehmen, um die Sicherheit von Datennetzen und Servern von Zoll und 
Bundespolizei zu verbessern? 

Die Informations- und Kommunikations-Infrastruktur der betroffenen Bundes- 
behörden wird einer umfassenden Sicherheitsüberprüfung unterzogen. Darun- 
ter fallen u. a. die Revision der Informationssicherheit, eine Schwachstellen- 
analyse und Penetrationstests, ln einem weiteren Schritt ist vorgesehen, die bis- 
herigen Sicherheitskonzepte für die Informations- und Kommunikations-Infra- 
struktur und deren Umsetzung auf den Prüfstand zu stellen. Dabei sind auch die 
Sicherheitsstrukturen sowie die Informations- und Meldewege zu überprüfen 
und gegebenenfalls anzupassen. Über weitergehende Maßnahmen wird nach 
Abschluss der Schwachstellenanalyse entschieden. 


16. Wann wurde der Bundesbeauftragte für den Datenschutz und die 
Informationsfreiheit und von wem über die Datenlecks informiert? 

Nach Erkenntnissen der Bundesregierung hat der Bundesbeauftragte für den 
Datenschutz und die Informationsfreiheit am 8. Juli 2011 über Meldungen aus 
den Medien von dem Angriff erfahren. Die von ihm am gleichen Tag schriftlich 
an die betroffenen Behörden gerichteten Fragen wurden beantwortet. 


17. Ist die Bundesregierung bereit, auch für Bundesbehörden gesetzliche Re- 
gelungen anzustreben, die sicherstellen, dass „bei Verlust, Diebstahl oder 
Missbrauch sensibler personenbezogener Daten (...) unverzüglich die 
hiervon Betroffenen sowie die Aufsichtsbehörden zu unterrichten (sind)“ 
(PE BfDI vom 12. Juli 2011)? 

Wenn nein, warum nicht? 

Die Frage zielt auf eine Erweiterung der Regelung des § 42a des Bundesdaten- 
schutzgesetzes (BDSG), die eine umfangreiche Informationspflicht für eine 
nichtöffentliche Stelle im Sinne des § 2 Absatz 4 oder eine öffentliche Stelle 
nach § 27 Absatz 1 Satz 1 Nummer 2 BDSG bei unrechtmäßiger Kenntnis- 
erlangung von Daten vorsieht, auf alle öffentlichen Stellen des Bundes. § 42a 
BDSG ist erst am 1. September 2009 in Kraft getreten. Gemäß § 48 Satz 1 
BDSG muss die Bundesregierang dem Bundestag bis zum 31. Dezember 2012 
u. a. über die Auswirkungen des § 42a BDSG berichten. Im Hinblick hierauf ist 
es verfrüht, jetzt bereits Aussagen zu einem eventuellen Änderangsbedarf des 
§ 42a BDSG zu treffen. 
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